「金融機関等コンピュータ システムの安全対策基準 (第 9 版)」に対する マイクロソフト クラウド サービス (Microsoft Azure、Office 365、Dynamics 365) の対応状況

公益財団法人金融情報システム センター (FISC) が作成した「金融機関等コンピュータ システムの安全対策基準・解説書」は通称「FISC 安全対策基準」と呼ばれ、金融機関のシステム構築や検査を行う際に、安全対策の指針として広く活用されており、金融庁が金融機関を検査する際に手引き書として位置づけている「金融検査マニュアル」においても、システム検査を行なう際にはこの「FISC 安全対策基準」を参照するよう記載されています。

「FISC 安全対策基準」最新版の第 9 版 では、金融機関などの情報システムを取り巻く環境の変化を踏まえ、抜本的な改定がおこなわれました。当基準には、金融情報システムの外部委託が進展したことや FinTech の活用などを踏まえ、IT ガバナンスに基づくリスクベースアプローチの考え方の導入および外部委託先等の統制基準の整理・拡充 (クラウド基準の整理・統合等を含む) を図ることが盛り込まれています。これらの基準をクリアするためには、マイクロソフトおよびマイクロソフトをご利用いただくお客様側での対応も必要となります。

マイクロソフトでは、「FISC 安全対策基準 第 9 版」に対するする各クラウド サービスの対応状況に関して、クラウド事業者としてマイクロソフトが実施済みの対応、ご利用頂くお客様側での実施が必要な対応について整理したチェックリスト・ホワイトペーパーを提供しています。お客様は、本ドキュメントを参照頂くことで、お客様側が対応すべき範囲に絞った効率的な対応が可能になります。現在、『Microsoft Azure』および『Office 365』に関するチェックリストを提供しています。(『Dynamics 365』に関するチェックリストおよびホワイトペーパーも近日中に提供予定です。) 本ドキュメントは、セキュリティ プラクティスに関する各種コンテンツ、中立的な第三者監査レポートを集約した Service Trust Portal からダウンロード可能です。ダウンロード手順はこちらをご参照ください。

また、マイクロソフトが提供している「FISC 安全対策基準第 9 版」対応に関するチェックリスト・ホワイトペーパーに加え、マイクロソフト ソリューション プロバイダーであるパートナー各社が、マイクロソフト クラウド サービスにおける、マイクロソフトの対応・利用者が実施すべき対応についての見解をまとめています。

金融機関向け『Microsoft Azure』対応セキュリティ リファレンス

• 株式会社三菱総合研究所
• 日本ビジネスシステムズ株式会社
• 株式会社電通国際情報サービス
• SCSK株式会社
• 株式会社FIXER
• トレンドマイクロ株式会社

金融機関向け『Office 365』対応セキュリティ リファレンス

• 株式会社三菱総合研究所
• 日本ビジネスシステムズ株式会社
• 株式会社FIXER
• トレンドマイクロ株式会社

金融機関向け『Dynamics 365』対応セキュリティ リファレンス

• 株式会社三菱総合研究所
• 日本ビジネスシステムズ株式会社

なお、株式会社野村総合研究所では、FISC 安全対策基準第 9 版に対する Microsoft Azure、Office 365 の対応状況を確認した結果を踏まえ、金融機関向けのリスク アセスメント サービスおよび監査サービスを提供中です。

金融機関向け『Microsoft Azure』『Office 365』対応リスク アセスメント/監査サービス

• 株式会社野村総合研究所

FISC 安全対策基準第 8 版追補改訂に対するマイクロソフト クラウド サービスの対応状況はこちらをご確認ください。

マイクロソフト見解ドキュメントのダウンロード手順

1. Service Trust Portal にアクセスします。
2. サイト上部のメニューから「Trust Documents」をクリックし、展開されるサブ メニューから「Data Protection」をクリックします。

3. 「Data Protection Resources」セクションのメニューから「Compliance Guides」をクリックします。

4. 一覧に表示されるドキュメントの中で、タイトルに “Japan FISC Guidelines v9” が含まれるドキュメントに「FISC 安全対策基準 第 9 版」に対する対応状況が記載されています。「FISC 安全対策基準 第 9 版」で規定されている「実務基準」「監査基準」「統制基準」「設備基準」に関して、現在、以下 4 つのドキュメントを提供しています。

・FISC 安全対策基準 第 9 版における「実務基準」に対する『Microsoft Azure』の対応状況
・FISC 安全対策基準 第 9 版における「実務基準」に対する『Office 365』の対応状況
・FISC 安全対策基準 第 9 版における「監査基準」「統制基準」に対するマイクロソフト クラウド サービスの対応状況 (全サービス共通)
・FISC 安全対策基準 第 9 版における「設備基準」に対するマイクロソフト クラウド サービスの対応状況 (全サービス共通)
(「実務基準」に対する『Dynamics 365』の対応状況については準備ができ次第公開予定です。)
5. ドキュメントのリンクをクリックすることでダウンロード可能です。ただし、ダウンロードにはマイクロソフト組織アカウント (Azure AD や Office 365 等で利用するアカウント) でのサイン インが必要になります。(マイクロソフト 組織アカウントをお持ちでない場合には、「Free Trial」のボタンより、無料試用版を登録頂き、組織アカウントを作成してください。)

※ 本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。